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SECURISEE D'UN UTILISATEUR LORS DE L' ACCES A UN SERVICE 
PAR L I INTERMEDI AIRE D'UN RESEAU DE TRANSMISSION DE 
DONNEES. 

La presente invention concerne la fourniture de services accessibles par 
Tintermediaire d ! un reseau de transmission de donnees, tels que les services 
bases sur un transport IP (Internet Protocol) accessibles notamment par le 
reseau Internet, ou les services conversationnels sur IP. 

A Fheure actuelle, lorsqu'un utilisateur souhaite acceder a mi tel service, il doit 
se connecter au reseau IP par Fintermediaire d'un reseau d' acces et d'un 
fournisseur de service (FS) tel qu'un fournisseur d' acces Internet. A cet effet, il 
doit prealablement etre authentifie par un serveur d' authentification du 
fournisseur de service. Pour cela, il doit lui transmettre un identifiant de la 
forme identifiantFS@domaineFS et un mot de passe. Une telle authentification 
permet au fournisseur de service de personnaliser ses services, par exemple en 
transmettant a Futilisateur une page d'accueil dans laquelle figure le nom de 
Futilisateur. 

Une fois que Futilisateur est connecte au reseau Internet, il peut acceder a 
d'autres services qui peuvent egalement proposer une identification et 
authentification de Futilisateur afin de pouvoir lui offrir des services a forte 
valeur ajoutee. Par exemple, un service de banque en ligne sur Internet necessite 
un operateur de reseau d'acces, un fournisseur d'acces a Internet et la banque 
concernee. Un acces a xm reseau Intranet d'entreprise necessite au moins un 
operateur de reseau d' acces et Fentreprise concernee. 

Plusieurs authentifications peuvent done etre effectuees durant une meme 
connexion. Comme ces authentifications sont realisSes par des acteurs differents 
du reseau, elles sont effectuees d'une maniere independante, ce qui oblige 
Futilisateur a executer plusieurs procedures d'authentification. L'ergonomie 
ainsi offerte a Futilisateur apparait done mediocre, et fastidieuse. 

Par ailleurs, il s'avere que les procedures d'authentification utilisees 
actuellement par les fournisseurs de services et qui sont basees sur la fourniture 
d'un identifiant et d'un mot de passe, offrent une securite mediocre, et en tout 
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cas, insuffisante pour permettre a un acteur de jouer le role de tiers de confiance 
vis-a-vis d'autres fournisseurs de services. 

Dans le cas de reseaux d'acces, les procedures d'authentification actuelles qui 
5 sont executees durant les connexions IP/PPP (Point-to-Point Protocol) via un 
reseau RTC (Reseau Telephonique Commute), RNIS (Reseau Numerique a 
Integration de Services) ou r ADSL (Asymmetric Digital Subscriber Line), ne 
permettent pas d'effectuer une authentification au niveau du reseau d'acces 
pour les connexion PPP. Generalement, l'operateur de reseau ORA/OTI 
10 (Operateur de Reseaux d'Acces / de Transport IP) ne peut pas utiliser les 
informations transmises par l'utilisateur pour 8tre authentifle aupres du 
fournisseur de service, dans le but d'identifier l'utilisateur, car il ne maitrise pas 
ces informations qui sont gerees par un autre domaine acmiinistratif. 

15 II existe par ailleurs une procedure d'authentification securisee basee sur un 
mecanisme de defi / rSponse (Challenge / Response) qui a ete normalisee par 
exemple par le protocole CHAP (Challenge Handshake Authentication 
Protocol). Toutefois, cette procedure est concue pour effectuer une 
authentification securisee vis-a-vis d'un seul acteur independant, et doit done 

20 etre executee a nouveau pour chaque acteur aupres duquel une authentification 
est souhaitee. 

La presente invention a pour but de supprimer ces inconvenients en proposant 
un procede permettant d'effectuer une authentification pour plusieurs acteurs 
25 independants du reseau. Cet objectif est atteint par la prevision d'un procede 
d'authentification d'un utilisateurflors d'une tentative d'acces a un acteur d'un 
reseau de transmission de donnees, ce procede comprenant des etapes au cours 
desquelles : 

30 - un terminal d'utilisateur emet a un acteur du reseau une requete d'acces 
contenant des donnees d' identification et d'authentification de l'utilisateur 
aupres de l'acteur, la requete d'acces etant transmise par l'intermediaire du 
reseau a un serveur d'authentification de l'acteur, 

- le serveur d'authentification execute une procedure d'authentification de 
35 l'utilisateur sur la base des donnees d' identification et d'authentification 

contenues dans la requete d'acces, et 

- le serveur d'authentification transmet au terminal d'utilisateur un message de 
reponse contenant le resultat de 1' authentification de l'utilisateur par le 
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serveur d'authentification. 

Selon l'invention, ce procede comprend en outre des etapes au cours 
desquelles : 

5 

- un nombre aleatoire est transmis au terminal prealablement a remission de la 
requete d'acces, 

- des donnees d'authentification de l'utilisateur aupres d'au moins deux 
acteurs du reseau sont calculees a l'aide d'au moins un algorithme 

1 0 cryptographique predefini et d'au moins une cle secrete propre a l'utilisateur, 

- le terminal insere dans la requete d'acces des donnees d' identification de 
l'utilisateur aupres desdits acteurs du reseau et les donnees d'authentification 
calculees, et 

- le terminal transmet la requete d'acces a un controleur d'acces qui transmet a 
15 chacun des deux acteurs une requete d'authentification respective contenant 

respectivement les donnees ^identification et d'authentification de 
l'utilisateur aupres desdits acteurs du reseau, contenues dans la requete 
d'acces, 

- des serveurs d'authentification de chacun des acteurs executerit une 
20 procedure d'authentification de l'utilisateur, sur la base des donnees. 

d'identification et d'authentification de l'utilisateur, contenues dans les 
requeues d'authentification, et 

- des comptes.rendus d'authentification contenant des resultats des procedures 
d'authentification executees par les serveurs d'authentification de chacun 

25 desdits acteurs du reseau sont transmises au terminal. 

Avantageusement, au moins l'une des donnees d'authentification est calculee 
par un module connecte au terminal. 

30 Selon un mode de realisation de l'invention, ce procede comprend une etape 
prealable au cours de laquelle le terminal etablit une connexion avec un serveur 
specialis6 par l'intermediaire du reseau, le nombre aleatoire etant genere et 
transmis au tenninal par le serveur specialise a la suite de l'etablissement de la 
connexion. 



35 



Selon un autre mode de realisation de l'invention, la requete d'acces emise par 
le terminal est transmise au serveur specialise qui y insere le nombre aleatoire 
utilise pour calculer les donnees d'authentification, la requete d'acces etant 
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ensuite transmise au controleur d'acces qui insere le nombre aleatoire dans les 
requetes d'authentification transmises aux deux acteurs. 

Selon encore un autre mode de realisation de l'invention, les procedures 
5 d'authentification executees par les serveurs d'authentification des acteurs 
comprennent une etape de recherche de la cle secrete de l'utilisateur sur la base 
de la donnee d' identification contenue dans la requete d'authentification, une 
etape de calcul d'une donnee d'authentification en executant l'algorithme 
cryptographique avec la cle secrete de l'utilisateur et le nombre aleatoire 
10 contenu dans la requete d'authentification, et une etape de comparaison de la 
donnee d'authentification contenue dans la requete d'authentification, avec la 
donnee d'authentification calculee, l'utilisateur etant correctement authentifie si 
la donnee d'authentification contenue dans la requete d'authentification 
correspond a la donnee d'authentification calculee. 

15 

Selon encore un autre mode de realisation de l'invention, les acteurs du reseau 
comprennent plusieurs acteurs parmi des fournisseurs d'acces offrant a 
l'utilisateur un acces au reseau Internet, des fournisseurs de service IP, et un 
operateur de reseau d'acces et de transport IP. 

20 

Avantageusement, les donnees d'identification inserees dans la requete d'acces 
sont de la forme : 

"IdA@DomaineA" 

25 dans laquelle : 

- "IdA" represente l'identifiant de l'utilisateur aupres de l'acteur du r6seau, 

- "DomaineA" represente l'identifiant de l'acteur du reseau dans le reseau, 

le contrdleur d'acces determinant les acteurs vers lesquels transmettre les 
requetes d'authentification sur la base des identifiants "DomaineA" de l'acteur 
30 du reseau contenus dans la requete d'acces. 

Avantageusement, les etapes d'authentification de l'utilisateur par les serveurs 
d'authentification des acteurs sont effectuees l'une a la suite de l'autre. 

35 Alternativement, les etapes d'authentification de l'utilisateur par les serveurs 
d'authentification des acteurs sont declenchees sensiblement simultanement 

De preference, le nombre aleatoire a partir duquel les donnees 
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d' authentication sont calculees est un nombre aleatoire modifie a chaque 
tentative de connexion. 

Selon encore un autre mode de realisation de l'invention, les procedures 
5 d'authentification de Putilisateur sont effectuees conformement au protocole 
CHAP. 

L'invention concerne egalement un systeme d'authentification d'un utilisateur 
lors d'une tentative d'acces a un acteur d'un reseau de transmission de donnees 
10 auquel sont connectes des acteurs du reseau, et auquel des terminaux 
d'utilisateurs peuvent acceder par Fintermediaire de reseaux d'acces, ce 
systeme comprenant : 

- des moyens prevus dans chaque terminal d'utilisateur pour emettre des 
15 requetes d'acces a un acteur du reseau, ces requetes contenant des donnees 

d'identification et d'authentification de Putilisateur aupres de F acteur du 
reseau, et 

- au moins un serveur d'authentification pour chacun des acteurs du reseau, 
congu pour identifier et authentifier les utilisateurs en fonction des donnees 

20 d'identification et d'authentification contenues dans les requetes d'acces 
repues. 

Selon l'invention, chaque terminal d'utilisateur comprend des moyens pour 
recevoir im nombre aleatoire lors de l'etablissement d'une connexion avec le 

25 reseau, des moyens de calculs cryptographiques pour appliquer au moins un 
algorithme cryptographique predefini au nombre aleatoire re?u afin d'obtenir 
des donnees d'authentification de Putilisateur aupres d'au moins deux acteurs 
du reseau, et des moyens pour inserer dans chaque requete d'acces emise des 
donnees d'identification de Putilisateur aupres des deux acteurs du reseau et les 

30 donnees d'authentification calculees, le systeme comportant en outre un 
controleur d'acces comprenant des moyens pour recevoir les requetes d'acces 
provenant des terminaux d'utilisateurs et transmises par le reseau, des moyens 
pour extraire de chacune des requetes d'acces les donnees d'identification et 
d'authentification de Putilisateur aupres d'au moins deux acteurs du reseau, des 

35 moyens pom- transmettre a chacun des deux acteurs une requete 
d'authentification respective contenant respectivement les donnees 
d'identification et d'authentification de Putilisateur aupres des deux acteurs, 
contenues dans la requete d'acces. 
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Selon uii mode de realisation de T invention, ce systeme comprend un module 
externe con?u pour se connecter a chacun des terminaux d'utilisateurs et 
comprenant des moyens pour recevoir le nombre aleatoire du terminal auquel il 
5 est connecte, des moyens de calcul cryptographique pour executer Falgorithme 
cryptographique predefini sur la base du nombre aleatoire, et pour transmettre 
au terminal au moins une donnee d'authentification de Futilisateur aupres d'un 
acteur du reseau obtenue par les calculs cryptographiques. 

10 Avantageusement, Falgorithme predefini est un algorithms cryptographique 
utilisant une cl6 secrete propre a Futilisateur et memorisee par le module. 

Selon un autre mode de realisation de F invention, le module est une carte a 
microprocesseur, chaque terminal comportant des moyens pour se connecter a 
1 5 une carte a microprocesseur. 

Selon un autre mode de realisation de Finvention, le controleur d'acces 
comprend en outre des moyens pour recevoir des comptes rendus 
d'authentification de Futilisateur, emis par les acteurs en reponse aux requetes 
20 d'authentification, et des moyens pour transmettre au terminal d'utilisateur un 
compte rendu d'authentification sur la base des comptes rendus regus des 
acteurs. 

Selon encore un autre mode de realisation de Finvention, ce systeme comprend 
25 en outre un serveur specialise connecte au reseau de maniere a 6tre connecte 
aux terminaux d'utilisateurs a la suite de Fetablissement d'une connexion du 
terminal au reseau, le serveur specialist comprenant des moyens pour generer et 
transmettre un nombre aleatoire a chacun des terminaux avec lesquels une 
connexion est etablie, et des moyens pour insurer le nombre aleatoire dans 
30 chacune des requetes d'acces emises par les terminaux. 

De preference, le serveur specialise est un serveur HTTP comportant une 
interface avec le protocole RADIUS. 

35 Egalement de preference, le controleur d'acces est un Proxy RADIUS. 

Selon encore un autre mode de realisation de Finvention, chaque acteur du 
reseau comprend des moyens de stockage de cles secretes d'utilisateurs, des 
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moyens pour determiner la donnee d'authentification de Putilisateur aupres de 
Pacteur en appliquant au nombre aleatoixe re9u dans une requete 
d'authentification et a la cle secrete d'un utilisateur Palgorithme predefini, et 
pour comparer le resultat obtenu a la donnee d'authentification de Putilisateur 
5 re?ue dans la requete d'authentification, Putilisateur etant correctement 
authentifie par Pacteur uniquement si le resultat du calcul cryptographique 
obtenu est egal a la donnee d'authentification contenue dans la requete 
d' authentification. 



10 Un mode de realisation prefere de Tinvention sera decrit ci-apres, a titre 
d ! exemple non limitatif, avec reference aux dessins annexes dans lesquels : 

La figure 1 represente schematiquement P architecture d'un 
systeme de fourniture de services, selon Finvention ; 

15 La figure 2 represente un diagramme de sequencemerit d'etapes 

qui sont executees dans le systeme represente sur la figure 1, 
conformement au procede selon Tinvention. 

Le systeme represente sur la figure 1 comprend des reseaux d'acces 1, 2 
auxquels sont connectes des terminaux 11 d'utilisateurs. Ces reseaux d'acces 1, 
20 2 fournissent aux terminaux 11 un acces a un reseau de tiansport IP 5 par 
1'intermediaire de passerelles IP 3, 4 respectives adaptees au reseau d'acces, 
L'ensemble des reseaux d'acces, des passerelles et du reseau de transport IP est 
mis en oeuvre par un operateur ORA/OTI de reseaux d'acces et de transport IP. 

25 Le r6seau de transport IP 5 permet aux utilisateurs d'acceder a un fournisseur 
d'acces Internet 6, 7 ou a un fournisseur de services IP 8. 

A cet effet, ce systeme comprend, selon Pinvention, un serveur specialise 12 
qui delivre aux utilisateurs souhaitant se connecter au reseau IP, des nombres 
30 aleatoires destines a etre utilises au cours de procedures d'identification, et un 
controleur d'acces 10 connecte au reseau de transport IP 5 et auquel le serveur 
specialise 12 transmet les requetes d'acces emises par les terminaux 1 1. 

Le controleur d'acces 10 est con9u pour recevoir toutes les requetes d'acces a 
35 un fournisseur 6, 7, 8 d'acces ou de service, emises par les utilisateurs sur les 
r&eaux 1, 2, par 1'intermediaire de la passerelle 3, 4 correspondant au reseau 
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d'acces 1, 2 employe, et du serveur specialise 12, et d'auguiller ces requetes an 
travers du reseau de transport IP vers le fournisseur 6, 7, 8 d'acces ou de service 
indique dans la requete par le terminal de Putilisateur. 

5 II est a noter que les passerelles 3, 4 peuvent alternativement assurer les 
fonctions executees par le serveur specialise 12. 

Pour acceder au reseau IP 5 par Pintermediaire d'un fournisseur d'acces 6, 7 et 
a un service particulier offert par un fournisseur de service 8 connecte au 

10 reseau, le terminal de Putilisateur execute tout d'abord une procedure 
d'etablissement de connexion avec le serveur specialise 12 pour obtenir un 
nombre aleatoire RAND. Ensuite, le terminal de Putilisateur emet une requete 
d'acces au fournisseur de service souhaite via le fournisseur d'acces, qui est 
transmise successivement par la passerelle IP 3, 4 et par le serveur specialise 12 

15 au controleur d'acces 10. A la reception d'une telle requete, le controleur 
d'acces 10 demande au fournisseur d'acces 6, 7 et au fournisseur de service 8 
demandes d'authentifier Putilisateur. Lorsque le fournisseur d'acces et le 
fournisseur de service ont envoye leur reponse concemant l'authentification de 
Putilisateur, le controleur d'acces emet une reponse d'autorisation d'acces a 

20 destination du terminal 11 de Putilisateur, en fonction des reponses 
d'authentification re<?ues. 

Le sequencement des etapes du procede d'authentification selon Pinvention est 
illustre par le diagramme repr6sente sur la figure 2. 

25 

Pour acceder a un service IP, le terminal 1 1 de Putilisateur execute tout d'abord 
une procedure 21 d'etablissement d'une connexion avec le serveur specialise 12 
via une passerelle IP 3, 4 accessible au terminal, Padresse du serveur specialise 
etant par exemple connue du logieiel de connexion installe dans le terminal. 
30 Cette procedure consiste tout d'abord a etablir une connexion avec la passerelle 
IP 3, 4, par exemple conformement au protocole LCP (Link Control Protocol). 
Juste apres Pouverture de la connexion, un nombre aleatoire RAND est envoye 
par le serveur specialise 12 au terminal 11 (etape 22), par exemple sous la 
forme d'un message de defi 41 conforme au protocole CHAP. 

35 

Ce nombre aleatoire est destine a servir de base a des calculs de mots de passe 
utilisables uniquement pour la tentative de connexion et d'acces en cours. Ces 
calculs de mots de passe sont avantageusement bases sur des algorithmes de 
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cryptographie faisant intervenir une ou plusieurs cles secretes et le nombre 
aleatoire RAND fourni par le serveur specialise pour la connexion en cours. Les 
algorithmes cryptographiques peuvent etre mis en ceuvre par le terminal de 
Putilisateur, et/ou de preference par xm module 15 physiquement independant 
5 de ce dernier, par exemple de type carte a microprocesseur. 

Dans ce dernier cas, le logiciel de connexion installe dans le terminal est en 
outre con?u pour interroger le module 15. 

10 L' algorithme de cryptographie choisi est par exemple celui qui est implements 
dans les cartes SIM (Subscriber Identification Module) des terminaux mobiles 
de type GSM (Global System for Mobile communications). 

A la reception du message de defi 41, le terminal en extrait le nombre aleatoire 
1 5 RAND 42 et le transmet au module 1 5 connecte au terminal (etape 23). 

A T etape suivante 24, le module 15 applique un algorithme de cryptographie au 
nombre aleatoire re?u en utilisant une cle secrete de Futilisateur, ce qui permet 
d'obtenir un nombre 43 a utiliser conime mot de passe d' authentication de 

20 Putilisateur. Pour acceder a plusieurs acteurs du reseau choisis par l'utilisateur, 
a savoir par exemple un fournisseur d'acces et un fournisseur de service, autant 
de mots de passe que d' acteurs a acceder sont de preference generes par le 
terminal et/ou par le module 1 5, avec le meme algorithme cryptographique ou 
avec des algorithmes differents, et avec la meme cle secrete ou avec des cles 

25 secretes differentes. Les mots de passe AUTH1, AUTH2 eventuellement 
calcules par le module 15 sont ensuite transmis en reponse au terminal 1 1 . 

Bien entendu, si Tim ou les deux algorithmes cryptographiques sont installes 
dans le terminal, l 5 etape 24 est au moins partiellement executee par le terminal. 

30 

Une fois la connexion avec le serveur specialise 12 etablie, le terminal envoie 
un message 44 de requete d'acces a celui-ci (etape 25). Ce message de requete 
44 comprend les identifiants ID1 et ID2 de l'utilisateur respectivement aupres 
du fournisseur d'acces et du service choisi, et les mots de passe AUTH1 et 
35 AUTH2 obtenus par les calculs cryptographiques. 

A la reception du message de requete 44, le serveur specialist 12 encapsule ce 
message dans une requ€te d'autorisation d'acces 45 (etape 26). Cette requete est 
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par exemple du type "Access-Request" conforme au protocole RADIUS 
(Remote Authentication Dial In User Service) comportant un attribut nom 
d'utilisateur "User-Name" egal aux deux identifiants concatenes ID1|ID2, un 
attribut mot de passe "CHAP-Password" egal aux deux mots de passe 
5 concatenes AUTH 1 | AUTH2, ainsi qu'un attribut "CHAP-Challenge" destine a 
recevoir le nombre aleatoire RAND utilise pour generer les mots de passe, le 
nombre RAND etant determine par le serveur specialise en fonction d'un 
identifiant de la session de connexion en cours avec le terminal. La requete 45 
est transmise par le serveur specialise 12 au controleur d'acces 10. 

10 

A 1'etape 27 suivante, le controleur d'acces re?oit la requete 45 et en extrait les 
parametres d' identification et d'authentification. Ces parametres sont transmis 
aux etapes 28, 29 dans des messages d'authentification 46, 47 respectivement 
aux serveurs d'authentification 16 du fournisseur d'acces et du founiisseur de 

1 5 service choisi. Les informations d' identification ID1 et ID2 sont par exemple de 
la forme "IdA@domaineA", "IdA" permettant d'identifier d'une maniere 
unique l'utilisateur aupres du fournisseur d'acces ou de service, et "domaineA" 
permettant de determiner le nom de domaine dans le reseau IP, du serveur vers 
lequel doit etre envoye le message d'authentification correspondant. Ces 

20 messages d'authentification 46, 47 contiennent chacun 1' identifiant et le mot de 
passe correspondant au destinataire du message, ainsi que le nombre aleatoire 
RAND. 

A la reception d'un tel message d'authentification 46, 47, le serveur 
25 d'authentification 16 execute une procedure d'authentification 28, 
respectivement 29. Cette procedure d'authentification consiste a identifier 
l'utilisateur grace a 1'information d' identification ID1, respectivement ID 2, 
puis a determiner la cle secrete de l'utilisateur en accedant a une base de 
donnees de cles secretes d'utilisateurs autorises, k calculer ensuite le mot de 
30 passe de l'utilisateur a l'aide de cette cle secrete et du nombre RAND re?u, et 
enfin a comparer le mot de passe ainsi calculee avec celui qui a ete repu. Pour 
calculer le mot de passe AUTH, le serveur d'authentification dispose du meme 
algorithme cryptographique que celui utilise par le terminal 1 1 ou le module 15. 

35 L'utilisateur est correctement authentifie uniquement si le mot de passe calcule 
par le serveur d'authentification est identique a celui qui a ete re?u. 

Le resultat de cette authentification, de la forme succes/echec, est transmis au 
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controleur d'acces 10 sous la forme d'un message 48, respectivement 49 de 
compte-rendu d'authentification. 

A la reception des deux messages 48, 49 de compte-rendu d'authentification, en 
5 provenance respectivement du fournisseur d'acces 6, 7 et du fournisseur de 
service IP 8 choisi, le controleur d'acces 10 dispose des informations 
necessaires pour gerer les droits d'acces de l'utilisateur en fonction de la 
politique de l'operateur ORA/OTI et execute une etape 30 de generation d'un 
message 50 de reponse a la requete d'acces emise par l'utilisateur et transmet ce 
1 0 message de reponse au serveur specialise 12. 

Ce message de reponse 50 contient les comptes-rendus d'authentification emis 
par le fournisseur d'acces 6, 7, et par le fournisseur de service 8 choisi. 

15 II est a noter que les procedures d'authentification 28 et 29 executees par le 
fournisseur d'acces 6, 7 et le fournisseur de service 8 peuvent etre executees 
simultanement ou bien sequentiellement dans un ordre quelconque. 

A la reception du message de reponse 50, le serveur specialise 12 execute une 
20 procedure 31 consistant a extraire de ce message de reponse les informations a 
renvoyer a l'utilisateur, puis a transmettre au terminal d'utilisateur dans un 
message 51, par exemple de type "CHAP-success" ou "Chap-failure" pour le 
protocole CHAP, les informations extraites qui lui sont destinees. 

25 Grace a ces dispositions, un utilisateur peut etre authentifie simultanement par 
diff6rents acteurs du reseau, par exemple beneficier d'tm acces a Internet dans 
lequel il a ete authentifie par un service de paiement en ligne secxaris6, par 
exemple offert par un organisme bancaire. II peut en outre etre authentifie par 
1'operateur ORA/OTI. 

30 

L'invention qui vient d'etre dScrite peut etre realisee en mettant en oeuvre \m 
serveur specialise 12 du type serveur HTTP, et un controleur d'acces 10 du type 
proxy RADIUS, le serveur specialise comportant une interface RADIUS pour 
pouvoir communiquer avec le controleur d'acces, les serveurs d'authentification 
35 etant egalement des serveurs RADIUS. 
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REVENDICATIONS 

1. Procede d'authentification d'un utilisateur lors d'une tentative 
d'acces a un acteur (6, 7, 8) d'un reseau de transmission de donnees (5), ce 
5 procede comprenant des etapes au cours desquelles : 

- vm terminal (11) d'utilisateur emet a un acteur du reseau (5) une requete 
d'acces (44) contenant des donnees d'identification et d'authentification de 
Putilisateur aupres de V acteur, la requete d'acces etant transmise par 
P intermediate du reseau (5) a un serveur d'authentification (16) de P acteur, 

10 - le serveur d'authentification execute une procedure d'authentification (28) de 
Putilisateur sur la base des donnees d' identification et d'authentification 
contenues dans la requete d'acces, et 

- le serveur d'authentification (16) transmet au terminal (11) d'utilisateur un 
message de reponse (51) contenant le resultat de Pauthentification de 

1 5 Putilisateur par le serveur d' authentication (16), 

caracterise en ce qu'il comprend en outre des etapes au cours desquelles : 

- un nombre aleatoire est transmis au terminal (11) prealablement a remission 
de la requete d'acces (44), 

- des donnees d'authentification de Putilisateur aupres d'au moins deux 
20 acteurs (6, 7, 8) du reseau (5) sont calculees a Paide d'au moins un 

algorithme cryptographique predefini et d'au moins une cle secrete propre a 
Putilisateur, 

- le terminal (11) insere dans la requete d'acces (44) des donnees 
d' identification de Putilisateur aupres desdits acteurs du reseau (5) et les 

25 donnees d'authentification calculees, et 

- le terminal (11) transmet la requete d'acces a un controleur d'acces (10) qui 
transmet a chacun des deux acteurs une requete d'authentification (46, 47) 
respective contenant respectivement les donnees d' identification et 
d'authentification de Putilisateur aupres desdits acteurs du reseau (5), 

30 contenues dans la requete d'acces, 

- des serveurs d'authentification (16) de chacun des acteurs executent une 
procedure d'authentification (28, 29) de Putilisateur, sur la base des donnees 
d' identification et d'authentification de Putilisateur, contenues dans les 
requetes d'authentification (46, 47), et 

35 - des comptes rendus d'authentification contenant des resultats des procedures 
d'authentification executees par les serveurs d'authentification (16) de 
chacun desdits acteurs du reseau sont transmises au terminal (11). 
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par 1'intermediaire d'un reseau d'acces (1, 2) et d'un reseau de transport IP (5) 



2. Procede selon la revendication 1, 

caracterise en ce qu'au moins l'une des donnees d'authentification est calculee 
5 par un module (15) connecte au terminal (11). 

3. Procede selon la revendication 1 ou 2, 

caract6rise en ce qu'il comprend une etape prealable au cours de laquelle le 
terminal etablit une connexion avec un serveur specialise (12) par 
10 1'intermediaire du reseau (5), le nombre aleatoire etant genere et transmis au 
terminal (11) par le serveur specialise a la suite de l'etablissement de la 
connexion. 

4. Proced6 selon la revendication 3, 

1 5 caracterise en ce que la requete d'acces (44) 6mise par le terminal est transmise 
au serveur speciabse (12) qui y insere le nombre aleatoire utilise pour calculer 
les donnees d'authentification, la requSte d'acces etant ensuite transmise au 
controleur d'acces (10) qui insere le nombre aleatoire dans les requetes 
d'authentification transmises aux deux acteurs (6, 7, 8). 

20 

5. Procede selon la revendication 4, 

caracterise en ce que les procedures d'authentification executees par les 
serveurs d'authentification (16) des acteurs (6, 7, 8) comprennent une etape de 
recherche de la cle secrete de l'utilisateur sur la base de la donnee 
25 d'identification contenue dans la requete d'authentification, une etape de calcul 
d'une donnee d'authentification en executant ralgorithme cryptographique avec 
la cle secrete de l'utilisateur et le nombre aleatoire contenu dans la requdte 
d'authentification, et une 6tape de comparaison de la donnee d'authentification 
contenue dans la requete d'authentification, avec la donnee d'authentification 
30 calculee, l'utilisateur etant correctement authentifie si la donnee 
d'authentification contenue dans la requete d'authentification correspond a la 
. donnee d'authentification calculee. 

6. Procede selon Tune des revendications 1 a 5, 

35 caracterise en ce que les acteurs (6, 7, 8) du reseau (5) comprennent plusieurs 
acteurs parmi des fournisseurs d'acces (6, 7) offrant a l'utilisateur un acces au 
reseau Internet, des fournisseurs de service (8) IP, et un operateur de reseau 
d'acces et de transport IP. 
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7. Procede selon l'une des revendications 1 a 6 

5 

"IdA@DomaineA" 

dans laquelle : 

" "T" '""If ride0tifiant de '••""-ateur aupres de 1'acteur du r&eau 

1 acteur du reseau contenus dans la requete d'acces (44). D ° mameA de 

8. Precede selon l'une des revendications 1 a 7 
caractense en ce que les etapes d'authentification (28, 29) de l'utilisateur n*r l 
serveurs d'authentifirari™ n a\ a j ' uunsateur par les 

la suite de I^aT^ (16 > des deu * ***** (6, 7, 8) sent effectives l'une a 

on ■ , 9 ' Proc6d6 selon ^ des revendications 1 a 7 

w caractense en ce que les etapes d ' authentication T2S ml,, 

serveurs d' authentication n a *. * ntmcatlon ( 28 > 29) de 1 utihsateur par les 

sensiblementsimuhtCt } ~ ^ ? > 8) « 

10. Procede selon l'une des revendications 1 a 9 



30 



35 



tentative de connexion. 

11. Procede selon l'une des revendications 1 a 1 0 
caractense en ce que les procedures d'authentification de 1'utilisateur sont 
effectives conformement au protocole CHAP. "titisateui sont 

d'acces a un act^ tT^"*" d ^ ^lisateur lors d'une tentative 
cces a un acteur (6, 7, 8) d'un reseau de transmission de donnees (5) auan.I 

L^lT " lm ~ a - * d'acc* (i, 2), ce systeme 

- des m oyen S prfvus dan, chaque terminal d'uulisateur pour eme«re des 
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requites d'acces (44) a un acteur du reseau, ces requdtes contenant des 
donnees d' identification et d'authentification de l'utilisateur aupres de 
1' acteur du reseau, et 
- au moins un serveur d'authentification (16) pour chacun des acteurs du 
5 reseau, concu pour identifier et authentifier les utilisateurs en fonction des 
donnees d' identification et d'authentification contenues dans les requetes 
d'acces recues, 

caracterise en ce que chaque terminal (1 1) d'utilisateur comprend des moyens 
pour recevoir un nombre aleatoire lors de l'etablissement d'une connexion avec 

10 le reseau de transport (5), des moyens de calculs cryptographiques pour 
appliquer aii moins un algorithme cryptographique predefini au nombre 
aleatoire recu afin d'obtenir des donnees d'authentification de l'utilisateur 
aupres d'au moins deux acteurs du reseau (5), et des moyens pour inserer dans 
chaque requete d'acces (44) emise des donnees ^identification de l'utilisateur 

1 5 aupres des deux acteurs du reseau et les donnees d'authentification calculees, le 
systeme comportant en outre un controleur d'acces (10) comprenant des 
moyens pour recevoir les requetes d'acces provenant des terminaux 
d'utilisateurs et transmises par le reseau de transport (5), des moyens pour 
extraire de chacune des requetes d'acces les donnees d' identification et 

20 d'authentification de l'utilisateur aupres d'au moins deux acteurs du reseau, des 
moyens pour transmettre a chacun des deux acteurs une requete 
d'authentification (46, 47) respective contenant respectivement les donnees 
d' identification et d'authentification de l'utilisateur aupres des deux acteurs, 
contenues dans la requ&e d'acces (44). 

25 

13. Systeme selon la revendication 12, 
caracterise en ce qu'il comprend un module externe (15) concu pour se 
connecter a chacun des terminaux (1 1) d'utilisateurs et comprenant des moyens 
pour recevoir le nombre aleatoire du terminal auquel il est connecte, des 
30 moyens de calcul cryptographique pour executer l'algorithme cryptographique 
predefini sur la base du nombre aleatoire, et pour transmettre au terminal au 
moins une donnee d'authentification de l'utilisateur aupres d'un acteur (6, 7, 8) 
du reseau (5) obtenue par les calculs cryptographiques. 

35 14. Systeme selon la revendication 13, 

caracterise en ce que l'algorithme predefini est un algorithme cryptographique 
utilisant une cle secrete propre a l'utilisateur et memorisee par le module (15). 
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15. Systeme selon la revendication 13 ou 14, 

caracterise en ce que le module (15) est une carte a microprocesseur, chaque 
terminal (11) comportant des moyens pour se connecter a une carte a 
microprocesseur. 

5 

16. Systeme selon Tune des revendications 12 a 15, 

caracterise en ce que le controleur d'acces (10) comprend en outre des moyens 
pour recevoir des comptes rendus d'authentification (48, 49) de Futilisateur, 
emis par les acteurs en reponse aux requetes d'authentification, et des moyens 
10 pour transmettre au terminal d'utilisateur un compte rendu d'authentification 
(51) sur la base des comptes rendus re9us des acteurs. 

17. Systeme selon Tune des revendications 12 a 16, 

caracteme en ce qu'il comprend en outre un serveur specialise (12) connecte au 
1 5 res^^5) de maniere a etre connecte aux terminaux (11) d'utilisateurs a la suite 
de Petablissement d'une connexion du terminal au reseau, le serveur specialise 
comprenant des moyens pour generer et transmettre un nombre aleatoire a 
chacun des terminaux avec lesquels une connexion est etablie, et des moyens 
pour inserer le nombre aleatoire dans chacune des requetes d'acces emises par 
20 les terminaux. 

18. Systeme selon la revendication 17, 

caracterise en ce que le serveur specialise (12) est un serveur HTTP comportant 
une interface avec le protocole RADIUS. 

25 

19. Systeme selon rune des revendications 12 a 18, 
caracterise en ce que le controleur d'acces (10) est un Proxy RADIUS. 

20. Systeme selon Tune des revendications 12 a 19, 

30 caracterise en ce que chaque acteur (6, 7, 8) du reseau (5) comprend des moyens 
de stockage de cles secretes d'utilisateurs, des moyens pour determiner la 
donnee d'authentification de Futilisateur aupres de Facteur en appliquant au 
nombre aleatoire regu dans une requete d'authentification (46, 47) et a la cle 
secrete d'un utilisateur Talgorithme predefini, et pour comparer le resultat 

35 obtenu a la donnee d'authentification de V utilisateur repue dans la requete 
d'authentification, Futilisateur etant correctement authentifie par Facteur 
imiquement si le resultat du calcul cryptographique obtenu est egal a la donnee 
d'authentification contenue dans la requete d'authentification. 
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